Los datos de carácter personal se clasifican en tres niveles, de acuerdo con el nivel de protección que requieren
1- Nivel Básico
Aplica, entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad.
Ejemplos: Nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo, nacionalidad, etc.
2- Nivel Medio
Aplica, entre otros, a los ficheros que contengan datos relativos a solvencia patrimonial, operaciones financieras y de crédito.
Ejemplos: Datos de personalidad, hábitos de consumo, hábitos de carácter, datos de seguridad social, solvencia patrimonial y crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículos, etc.
3- Nivel Alto
Aplica a los ficheros que contienen datos especialmente protegidos como los que se refieren a ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y práctica sexual, etc.
Sobre el responsable del fichero o tratamiento recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. Entre otros debe:
Inscripción de ficheros
Notificar los ficheros ante el Registro General de Protección de Datos, para que se proceda a su inscripción.
Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
Deber de guardar secreto
Garantizar el cumplimiento de los deberes de secreto y seguridad.
Deber de información
Informar a los titulares de los datos personales en la recogida de éstos.
Obtener el consentimiento para el tratamiento de los datos personales.
Atención de los derechos de los ciudadanos
Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
Novedades reglamentarias en Protección de Datos (en curso y actualización actualmente)
El Reglamento Europeo de protección de datos entró en vigor el 25 de mayo de 2016 pero comenzará a aplicarse el 25 de mayo de 2018. La LOPD y el reglamento españoles siguen en vigor hasta que entre en funcionamiento el reglamento europeo y se aprueben/modifiquen la nueva normativa interna de cada estado. El reglamento europeo es de aplicación directa en toda la Unión Europea e incluso la prestación de servicios u oferta de bienes de empresas fuera de la Unión pero que se ofrezca a interesados dentro de la UE. Las adaptaciones internas de cada estado añadirán a los mínimos establecidos en la norma europea.
Principales novedades en el Reglamento Europeo:
Consentimiento expreso → piedra angular de la normativa.
Ampliación de los derechos: derecho al olvido y derecho a la privacidad de los datos.
Desaparece la inscripción de ficheros en la AEPD.
Nueva redacción de la información a los interesados/as.
Nueva figura del DPO - Delegado de Protección de Datos.
Inclusión del DPO en las empresas con grandes volúmenes de información o información sensible.
Inclusión del DPO en las AAPPs.
Brechas de seguridad, detección, control, información y colaboración con autoridades de control
Privacidad por defecto y en el diseño:
Informes de impacto en la privacidad
Medidas de seguridad
Checklist para adecuarse al nuevo reglamento (a la espera de la normativa española):
Revisar avisos legales/formularios.
Modificar/ampliar la información de los avisos legales/formularios.
Estudiar la inclusión de consentimientos expresos para los tratamientos de datos.
Determinar la tipología y volumen de los datos tratados a fin de:
Determinar si necesitaremos figura DPO.
Desarrollar las evaluaciones de impacto en privacidad.
Privacidad en el diseño y por defecto.
Adecuar las medidas de seguridad y preparar planes de contingencia – brechas de seguridad.
Revisar procesos de respuesta a los derechos ARCO+limitación de tratamientos +portabilidad + derecho al olvido (si corresponde)
Revisar los flujos de información.
Determinar los periodos de conservación de los datos.
Revisión de los contratos encargados/responsables
Desarrollar “registro de actividades” empresas de +250 trabajadores o datos especialmente protegidos.
Posibilidad de certificación, código de conducta, etc...
Bonustrack: → Quizá contratar seguro responsabilidad protección de datos.
Si bien las cuestiones referidas a datos de carácter personal deben abordarse con profesionales de la materia, se aportan aquí algunas indicaciones básicas al respecto.
Sitios de referencia para consulta: Agencia Española de Protección de Datos - Agencia Vasca de Protección de Datos
Contenidos de esta página: Niveles de seguridad | Obligaciones | Novedades reglamentarias en Protección de Datos (en curso y actualización actualmente)
Niveles de seguridad
Los datos de carácter personal se clasifican en tres niveles, de acuerdo con el nivel de protección que requieren1- Nivel Básico
Aplica, entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad.
Ejemplos: Nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo, nacionalidad, etc.
2- Nivel Medio
Aplica, entre otros, a los ficheros que contengan datos relativos a solvencia patrimonial, operaciones financieras y de crédito.
Ejemplos: Datos de personalidad, hábitos de consumo, hábitos de carácter, datos de seguridad social, solvencia patrimonial y crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículos, etc.
3- Nivel Alto
Aplica a los ficheros que contienen datos especialmente protegidos como los que se refieren a ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y práctica sexual, etc.
Obligaciones
Fuente: Agencia Española de Protección de Datos.Más información: https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/index-ides-idphp.php
Sobre el responsable del fichero o tratamiento recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. Entre otros debe:
Inscripción de ficheros
Calidad de los datos
Deber de guardar secreto
Deber de información
Atención de los derechos de los ciudadanos
Novedades reglamentarias en Protección de Datos (en curso y actualización actualmente)
Fuente: Jornadas divulgativas de Enpresa Digitala Diciembre 2016 - Enero 2017:"Nuevas normas en materia de protección de datos – Reglamento Europeo de protección de datos".
Impartida por Jorge Campanillas, de Iurismatica.
Más información:
http://www.spri.eus/euskadinnova/es/enpresa-digitala/agenda/nuevas-normas-materia-proteccion-datos-reglamento-europeo-proteccion-datos/12354.aspx
El Reglamento Europeo de protección de datos entró en vigor el 25 de mayo de 2016 pero comenzará a aplicarse el 25 de mayo de 2018. La LOPD y el reglamento españoles siguen en vigor hasta que entre en funcionamiento el reglamento europeo y se aprueben/modifiquen la nueva normativa interna de cada estado. El reglamento europeo es de aplicación directa en toda la Unión Europea e incluso la prestación de servicios u oferta de bienes de empresas fuera de la Unión pero que se ofrezca a interesados dentro de la UE. Las adaptaciones internas de cada estado añadirán a los mínimos establecidos en la norma europea.
Principales novedades en el Reglamento Europeo:
- Consentimiento expreso → piedra angular de la normativa.
- Ampliación de los derechos: derecho al olvido y derecho a la privacidad de los datos.
- Desaparece la inscripción de ficheros en la AEPD.
- Nueva redacción de la información a los interesados/as.
- Nueva figura del DPO - Delegado de Protección de Datos.
- Inclusión del DPO en las empresas con grandes volúmenes de información o información sensible.
- Inclusión del DPO en las AAPPs.
- Brechas de seguridad, detección, control, información y colaboración con autoridades de control
- Privacidad por defecto y en el diseño:
- Informes de impacto en la privacidad
- Medidas de seguridad
Checklist para adecuarse al nuevo reglamento (a la espera de la normativa española):La presentación utilizada en las jornadas se puede consultar con autorización expresa del autor y licencia Creative Commons en un recurso compartido al que se puede acceder en la siguiente dirección:
https://www.dropbox.com/s/uvt2iruqn7efx68/Jornada_Reglamento_Europeo_Proteccion_Datos_Enero_2017.pdf
Preguntas frecuentes
Consultar sitio web de la Agencia Vasca de Protección de Datos: http://www.avpd.euskadi.eus/informacion/faqs-preguntas-mas-frecuentes/s04-5273/es/